天融信防火墙双链路配置案例

案例设计需求：
电信和网通用户分别通过两个公网地址来访问企业内网服务器
内网服务器回复报文遵循电信用户使用电信出口，网通用户使用网通出口的规则。

双出口链路环境：
企业网络通过防火墙连接了两个ISP（电信和网通），其中eth1口与电信相连，其公网地址为202.98.1.1，；eth2口与网通相连，其公网地址为58.118.100.1。

电信与网通用户访问eth0口企业内网的一台服务器（192.168.7.100）
配置要点：
外网访问内网的映射：
策略路由配置
WEBUI 配置步骤
1、首先配置目的地址转换策略，电信线路访问电信的出口地址，目的转化为内部服务器；网通的线路访问网通的出口地址，目的转化为内部的服务器。

2、先在静态路由中添加两条默认路由，再添加两条策略路由，进行智能选路功能。

在入接口收到报文时反查回去的路由，如果反查成功，则实现路由的原去原回，如果反查不成功，则按正常路由匹配顺序进行查找；
新建立一条策略路由，自定义名称，选择global属性
在新建立的策略路由组下，点击“路由条目”添加两条策略路由，需要注意的地方是反查时的策略路由，其绑定属性是在发起报文的入接口，而不是在回复报文的入接口，所以策略路由按下方式填写，注意最后一项，需要开启“转换后的源”。

配置好的策略路由如下图：
CLI 配置步骤：
策略路由配置：
1.添加1个策略路由名称
TopsecOS＃network route-policy add name 智能选路
2.绑定策略路由属性。

外网对内网的策略路由绑定在global属性上。

TopsecOS＃network route-policy global-bind set 智能选路
3.添加策略路由条目
TopsecOS＃network route-policy add-entry name 智能选路src 202.98.1.0/24 gw 202.99.1.254 masq-src on
TopsecOS＃network route-policy add-entry name 智能选路src 58.118.100.0/24 gw
58.118.100.354 masq-src on。